Прокси сервер это межсетевой экран

Обновлено: 01.07.2024

Прокси-сервер (proxy – представитель, уполномоченный) – служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (cache) (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

Proxy являются попыткой реализовать межсетевой экран на уровне приложения. Их основное преимущество – поддержка полной информации о приложениях. Proxy обеспечивают частичную информацию об истории соединений, полную информацию о приложении и частичную информацию о текущем соединении и имеют возможность обработки и действий над информацией.

Однако имеются очевидные трудности в использовании proxy на уровне приложения в качестве межсетевого экрана:

  • Ограничения на соединения – каждый сервис требует наличия своего собственного прокси, поэтому число доступных сервисов и их масштабируемость ограничены.
  • Ограничения технологии – шлюз прикладного уровня (ALG) не может обеспечить прокси для протокола UDP.
  • Производительность – реализация на уровне приложения имеет значительные потери в производительности.

В добавление, proxy беззащитны к ошибкам в приложениях и OC, неверной информации в нижних уровнях протоколов и в случае традиционных прокси-серверы очень редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли общему их применению и нуждам сети Интернет. Однако, по мере превращения Интернета в постоянно меняющуюся динамичную среду, предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодействий в сети Интернет или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.

Интернет-маршрутизатор

Так называемые классические маршрутизаторы действуют на сетевом уровне, и их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения безопасности, так как они не имеют основных возможностей межсетевого экрана:

  • информации о соединении – маршрутизаторы имеют доступ лишь к ограниченной части заголовка пакетов;
  • наследуемой информации о соединении и приложении – маршрутизаторы не поддерживают хранение информации об истории соединения или приложения;
  • манипулирований информацией – маршрутизаторы имеют очень ограниченные возможности по действиям над информацией.

К тому же, маршрутизаторы достаточно сложно конфигурировать, следить за их состоянием и управлять. Они не обеспечивают должного уровня журналирования событий и механизмов оповещения.

В последнее время получили распространение устройства класса SOHO (Small Office/Home Office), значительно упрощающие задачу подключения локальной вычислительной сети к сети Интернет и условно называемые Интернет-маршрутизаторами . Как правило, Интернет-маршрутизатор – это аппаратное решение с одним (или несколькими) портом WAN для подключения к сети общего пользования (Интернет) и несколькими (чаще четыре) портами LAN для подключения рабочих станций локальной сети. Иногда Интернет-маршрутизатор оборудован беспроводной точкой доступа для организации связи в локальной сети с беспроводными клиентами. Может оснащаться USB-портом для подключения принтера и/или других устройств (например, 3G-модема).

Интернет-маршрутизатор разработан для совместного доступа группы пользователей к широкополосному Интернет-соединению через выделенную линию, DSL или кабельный модем. Кроме того, в качестве дополнительного канала возможно применение Wimax / 3G-модемов, обеспечивающих доступ в Интернет через Wimax / 3G-сети.

Интернет-маршрутизатор оснащен встроенным межсетевым экраном для защиты компьютеров в сети от вирусных и DoS-атак. Управление доступом осуществляется с помощью фильтрации пакетов на основе МАС-адресов источника и приемника.

Маршрутизатор может быть настроен таким образом, что отдельные FTP, Web- и игровые серверы смогут совместно использовать один, видимый извне IP-адрес, и в тоже время останутся защищенными от атак хакеров. Пользователи через Web-интерфейс маршрутизатора могут настроить любой (или конкретно выделенный производителем для этой цели) из LAN-портов как DMZ-порт (см. раздел "Механизмы PAT и NAT"). В последнее время всё чаще стала присутствовать функция "родительского" контроля (Parental control), которая позволяет фильтровать нежелательные URL-адреса Web-сайтов, блокировать домены и управлять использованием Интернет по расписанию.

Поддержка Интернет-маршрутизаторами технологии QoS (см. раздел "Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)") обеспечивает более эффективную передачу приложений, чувствительных к задержкам, таких как Интернет-телефония (VoIP), мультимедиа и игры по Интернет.

Прокси против Брандмауэра

Сравнение между Прокси против Брандмауэра было бы удобно для любого пользователя компьютера с доступом в Интернет. Это связано с тем, что как прокси, так и брандмауэр являются мерами безопасности, которые могут защитить компьютер от различных сетевых угроз. Итак, продолжайте читать эту статью, чтобы получить лучшее представление о них.

Введение в функциональность Firewall и Proxy

Как правило, технология межсетевого экрана и прокси-сервера работают совместно с защитой компьютера. Брандмауэр размещен на более низком уровне и может фильтровать все типы пакетов данных (IP-пакетов).

С другой стороны, прокси-серверы управляют сетевым трафиком, связанным с приложениями, установленными в системе. Прокси-сервер может отклонять или разрешать запросы, поступающие от внешних клиентов, для обеспечения максимальной конфиденциальности.

Учитывая функциональность, прокси-сервер можно разместить как часть брандмауэра вашей системы. Целью брандмауэра является предотвращение доступа к вашей системе несанкционированных подключений. Прокси-сервер играет роль посредника в соединении вашей системы с публичной сетью (Интернет).

Proxy vs. Firewall - таблица сравнения

брандмауэр

● Сервисный контроль

Эта стратегия брандмауэра определяет процесс определения, какие интернет-сервисы должны быть доступны. В этом случае как входящие, так и исходящие услуги контролируются.

● Направление управления

Эта стратегия заключается в определении маршрута, по которому должны проходиться соответствующие данные в сети.

● контроль поведения

Эта стратегия состоит в том, чтобы решить, как сервисы должны использоваться в сети.

● Пользовательский контроль

Пользовательский контроль - это стратегия, которая управляет доступом пользователя к данной услуге в сети.

Описание функциональности прокси-сервера

Как мы упоминали ранее, прокси-сервер может быть идентифицирован как элемент брандмауэра. Другими словами, и брандмауэр, и прокси-сервер должны работать совместно для обеспечения большей безопасности. Один только брандмауэр не является достаточно мощным, чтобы защитить сеть от всех потенциальных угроз. Это связано с тем, что он не может различать номера портов. В общем, прокси-серверы играют роль прокси и определяют, как проходит трафик для конкретного приложения. В этом случае он определяет URL-адреса.

Прокси-сервер

Есть еще одно преимущество, связанное с прокси-серверами по сравнению с брандмауэрами. Когда прокси-сервер получает запрос, он развертывает кэширование. После получения запроса сервер сначала проверяет, сохранена ли соответствующая страница в кэш-памяти. Если он уже сохранен, страница будет открыта в кратчайшие сроки. Однако, если страница отсутствует в кэше, соответствующий запрос будет отправлен на сервер. Как вы понимаете, это очень эффективный способ снижения потенциального трафика. Такой подход может практически минимизировать нагрузку на настоящий сервер и ускорить процесс.

Прокси против Брандмауэра - ключевые отличия

В этом разделе нашего сравнения Proxy и Firewall мы подчеркнем ключевые различия между ними. Это даст вам лучшее представление об этих двух аспектах.

  1. В общем, межсетевой экран в основном используется для блокировки потенциально опасного трафика, который может повредить вашу систему. Он играет роль барьера для входящего и исходящего трафика, связанного с сетями общего пользования. Однако когда речь идет о прокси-сервере, он работает как компонент брандмауэра. С помощью прокси-сервера он устанавливает соединение между клиентом и сервером. Если клиент безвреден и законен, он будет играть роль клиента и сервера одновременно.
  2. Межсетевые экраны предназначены для мониторинга IP-пакетов в сети передачи данных и соответствующей фильтрации. С другой стороны, прокси-сервер предназначен для фильтрации запросов, поступающих от установленных приложений. Вот почему прокси часто называют шлюзами приложений.
  3. В общем, издержки, связанные с брандмауэром, больше, если сравнивать его с прокси. Это особенно связано с тем, что прокси-серверы используют кэширование, чтобы максимально сократить использование ресурсов.
  4. Межсетевые экраны предназначены для использования данных сетевого и транспортного уровня для мониторинга обхода данных. Однако, когда речь идет о прокси, он также обрабатывает данные прикладного уровня.

Суть о Прокси против Брандмауэра

Итак, это наш Прокси против Брандмауэра сравнение. Брандмауэр и прокси-сервер должны работать совместно для обеспечения ожидаемой защиты сети. Тем не менее, прокси-сервер можно рассматривать как часть брандмауэра, и это может повысить эффективность брандмауэра.

Родительский контроль, отслеживание и удаленное наблюдение


Несанкционированный доступ к данным, хищения информации, нарушения в работе локальных сетей уже давно превратились в серьезные угрозы для бизнеса, деятельности общественных организаций и государственных органов.

Эффективным решением для защиты от этих угроз являются межсетевые экраны (МСЭ), или файерволы. Это программное обеспечение или аппаратно-программные продукты, предназначенные для блокировки нежелательного трафика.

Разрешение или запрет доступа межсетевым экраном осуществляется на основе заданных администратором параметров. В том числе могут использоваться следующие параметры и их комбинации:

  • IP-адреса. При помощи Firewall можно предоставить или запретить получение пакетов с определенного адреса или задать перечень запрещенных и разрешенных IP-адресов.
  • Доменные имена. Возможность установки запрета на пропуск трафика с определенных веб-сайтов.
  • Порты. Задание перечня запрещенных и разрешенных портов позволяет регулировать доступ к определенным сервисам и приложениям. Например, заблокировав порт 80, можно запретить доступ пользователей к веб-сайтам.
  • Протоколы. МСЭ может быть настроен таким образом, чтобы блокировать доступ трафика определенных протоколов.

Типы межсетевых экранов

Для защиты локальных сетей от нежелательного трафика и несанкционированного доступа применяются различные виды межсетевых экранов. В зависимости от способа реализации, они могут быть программными или программно-аппаратными.

Программный Firewall — это специальный софт, который устанавливается на компьютер и обеспечивает защиту сети от внешних угроз. Это удобное и недорогое решение для частных ПК, а также для небольших локальных сетей — домашних или малого офиса. Они могут применяться на корпоративных компьютерах, используемых за пределами офиса.

Для защиты более крупных сетей используются программные комплексы, под которые приходится выделять специальный компьютер. При этом требования по техническим характеристикам к таким ПК являются довольно высокими. Использование мощных компьютеров только под решение задач МСЭ нельзя назвать рациональным. Да и производительность файервола часто оставляет желать лучшего.

Поэтому в крупных компаниях и организациях обычно применяют аппаратно-программные комплексы (security appliance). Это специальные устройства, которые, как правило, работают на основе операционных систем FreeBSD или Linux.

Функционал таких устройств строго ограничивается задачами межсетевого экрана, что делает их применение экономически оправданным. Также security appliance могут быть реализованы в виде специального модуля в штатном сетевом оборудовании — коммутаторе, маршрутизаторе и т. д.

Применение программно-аппаратных комплексов характеризуется следующими преимуществами:

  • Повышенная производительность за счет того, что операционная система работает целенаправленно на выполнение одной функции.
  • Простота в управлении. Контролировать работу security appliance можно через любой протокол, в том числе стандартный (SNMP, Telnet) или защищенный (SSH, SSL).
  • Повышенная надежность защиты за счет высокой отказоустойчивости программно-аппаратных комплексов.

Помимо этого, межсетевые экраны классифицируют в зависимости от применяемой технологии фильтрации трафика. По этому признаку выделяют следующие основные виды МСЭ:

  • прокси-сервер;
  • межсетевой экран с контролем состояния сеансов;
  • межсетевой экран UTM;
  • межсетевой экран нового поколения (NGFW);
  • NGFW с активной защитой от угроз.

Рассмотрим более подробно эти виды файерволов, их функции и возможности.

Прокси-сервер

С помощью прокси-сервера можно создать МСЭ на уровне приложения. Главным плюсом технологии является обеспечение прокси полной информации о приложениях. Также они поддерживают частичную информацию о текущем соединении.


Необходимо отметить, что в современных условиях proxy нельзя называть эффективным вариантом реализации файервола. Это связано со следующими минусами технологии:

  • Технологические ограничения — шлюз ALG не позволяет обеспечивать proxy для протокола UDP.
  • Необходимость использования отдельного прокси для каждого сервиса, что ограничивает количество доступных сервисов и возможность масштабирования.
  • Недостаточная производительность межсетевого экрана.

Нужно учитывать и чувствительность прокси-серверов к сбоям в операционных системах и приложениях, а также к некорректным данным на нижних уровнях сетевых протоколов.

Межсетевой экран с контролем состояния сеансов

Этот тип МСЭ уже давно стал одним из самых популярных. Принцип его работы предусматривает анализ состояния порта и протокола. На основании этого анализа файервол принимает решение о пропуске или блокировании трафика. При принятии решения межсетевой экран учитывает не только правила, заданные администратором, но и контекст, что значительно повышает эффективность работы (контекстом называют сведения, которые были получены из предыдущих соединений).

Межсетевой экран UTM

Межсетевые экраны типа UTM (Unified threat management) стали дальнейшим развитием технологии, необходимость в котором возникла в связи с ростом изощренности и разнообразия сетевых атак. Впервые внедрение таких МСЭ началось в 2004 году.

Основным плюсом систем UTM является эффективное сочетание функций:

  • контент-фильтра;
  • службы IPS — защита от сетевых атак;
  • антивирусной защиты.

Это повышает эффективность и удобство управления сетевой защитой за счет необходимости администрирования только одного устройства вместо нескольких.

Экран UTM может быть реализован в виде программного или программно-аппаратного комплекса. Во втором случае предусматривается использование не только центрального процессора, но и дополнительных процессоров, выполняющих специальные функции. Так, процессор контента обеспечивает ускоренную обработку сетевых пакетов и архивированных файлов, вызывающих подозрение. Сетевой процессор обрабатывает сетевые потоки с высокой производительностью. Кроме того, он обрабатывает TCP-сегменты, выполняет шифрование и транслирует сетевые адреса. Процессор безопасности повышает производительность службы IPS, службы защиты от потери данных, службы антивируса.

Программные компоненты устройства обеспечивают создание многоуровневого межсетевого экрана, поддерживают фильтрацию URL, кластеризацию. Есть функции антиспама, повышения безопасности серфинга и другие возможности.

Межсетевой экран нового поколения (NGFW)

В связи с постоянным развитием и ростом технологического и профессионального уровня злоумышленников, возникла необходимость в создании новых типов межсетевых экранов, способных противостоять современным угрозам. Таким решением стал МСЭ нового поколения Next-Generation Firewall (NGFW).


Файерволы этого типа выполняют все основные функции, характерные для обычных межсетевых экранов. В том числе они обеспечивают фильтрацию пакетов, поддерживают VPN, осуществляют инспектирование трафика, преобразование портов и сетевых адресов. Они способны выполнять фильтрацию уже не просто на уровне протоколов и портов, а на уровне протоколов приложений и их функций. Это дает возможность значительно эффективней блокировать атаки и вредоносную активность.

Экраны типа NGFW должны поддерживать следующие ключевые функции:

  • защита сети от постоянных атак со стороны систем, зараженных вредоносным ПО;
  • все функции, характерные для первого поколения МСЭ;
  • распознавание типов приложений на основе IPS;
  • функции инспекции трафика, в том числе приложений;
  • настраиваемый точный контроль трафика на уровне приложений;
  • инспекция трафика, шифрование которого выполняется посредством SSL;
  • поддержка базы описаний приложений и угроз с постоянными обновлениями.

Такая функциональность позволяет поддерживать высокую степень защищенности сети от воздействия сложных современных угроз и вредоносного ПО.

NGFW с активной защитой от угроз

Дальнейшим развитием технологии стало появление NGFW с активной защитой от угроз. Этот тип файерволов можно назвать модернизированным вариантом обычного межсетевого экрана нового поколения. Он предназначен для эффективной защиты от угроз высокой степени сложности.

Функциональность МСЭ этого типа, наряду со всем возможности обычных NGFW, поддерживает:

  • учет контекста, обнаружение на его основе ресурсов, создающих повышенные риски;
  • автоматизацию функций безопасности для самостоятельной установки политик и управления работой системы, что повышает быстродействие и оперативность отражения сетевых атак;
  • применение корреляции событий на ПК и в сети, что повышает эффективность обнаружения потенциально вредоносной активности (подозрительной и отвлекающей).

В файерволах типа NGFW с активной защитой от угроз значительно облегчено администрирование за счет внедрения унифицированных политик.

Ограниченность анализа межсетевого экрана

При использовании межсетевых экранов необходимо понимать, что их возможности по анализу трафика ограничены. Любой файервол способен анализировать только тот трафик, который он может четко идентифицировать и интерпретировать. Если МСЭ не распознает тип трафика, то он теряет свою эффективность, поскольку не может принять обоснованное решение по действиям в отношении такого трафика.

Возможности интерпретации данных ограничены в ряде случаев. Так, в протоколах IPsec, SSH, TLS, SRTP применяется криптография, что не позволяет интерпретировать трафик. Данные прикладного уровня шифруются протоколами S/MIME и OpenPGP. Это исключает возможность фильтрации трафика, на основании данных, которые содержатся на прикладном уровне. Туннельный трафик также накладывает ограничения на возможности анализа МСЭ, поскольку файервол может «не понимать» примененный механизм туннелирования данных.

В связи с этим при задании правил для межсетевого экрана важно четко задать ему порядок действий при приеме трафика, который он не может однозначно интерпретировать.

Прокси-сервер обеспечивает шлюз между пользователями и интернетом. Этот сервер называется «посредником», поскольку он проходит между конечными пользователями и веб-страницами, которые они посещают в интернете.

Когда компьютер подключается к интернету, он использует IP-адрес. Это похоже на домашний адрес вашего дома: направление входящих данных в необходимое место и отметка обратного адреса на исходящих данных для проверки подлинности других устройств. Прокси-сервер — это, по сути, компьютер в интернете, имеющий собственный IP-адрес.

Прокси-серверы и сетевая безопасность

Прокси-серверы обеспечивают надежный уровень безопасности вашего компьютера. Они могут быть настроены как веб-фильтры или брандмауэры, защищая ваш компьютер от таких интернет-угроз, как вредоносные программы.

Кроме того, эта дополнительная безопасность ценна в сочетании с безопасным веб-шлюзом или другими продуктами для обеспечения безопасности электронной почты. Таким образом, вы можете фильтровать трафик в соответствии с его уровнем безопасности или объемом трафика, который может обрабатывать ваша сеть или отдельные компьютеры.

Некоторые люди используют прокси-серверы в личных целях, таких как сокрытие своего местоположения при просмотре фильмов в интернете. Однако для компании их можно использовать для выполнения нескольких ключевых задач, таких как:

  1. Повышение безопасности
  2. Защита деятельности сотрудников в сети от людей, пытающихся шпионить
  3. Балансировка интернет-трафика для предотвращения сбоев
  4. Контроль доступа сотрудников к веб-сайтам
  5. Экономия пропускной способности за счет кэширования файлов или сжатия входящего трафика

Как работает прокси

Поскольку прокси-сервер имеет свой собственный IP-адрес, он действует как промежуточный сервер для компьютера и интернета. Этот адрес сохраняется в вашем компьютере, и когда вы отправляете запрос через интернет, он направляется в прокси-сервер, который затем получает ответ от веб-сервера и пересылает данные со страницы в браузер вашего компьютера, например Chrome, Safari, Firefox или Microsoft Edge

Как получить прокси

Существуют версии аппаратного и программного обеспечения. Аппаратные решения располагаются между вашей сетью и интернетом, где они получают, отправляют и пересылают данные из интернета. Прокси-серверы программного обеспечения обычно размещаются провайдером или находятся в облаке. Вы устанавливаете приложение на свой компьютер, которое облегчает взаимодействие с прокси-сервером.

Зачастую прокси-сервер программного обеспечения можно получить за ежемесячную плату. Иногда они бесплатны. Бесплатные версии, как правило, предлагают пользователям меньше адресов и могут охватывать только несколько устройств, а платные прокси-серверы могут удовлетворить потребности бизнеса с большим количеством устройств.

Как настроить сервер?

Чтобы начать работу с прокси-сервером, необходимо настроить его на компьютере, устройстве или в сети. Каждая операционная система имеет свои собственные процессы установки, поэтому проверьте действия, необходимые для вашего компьютера или сети.

Однако в большинстве случаев настройка подразумевает использование сценария автоматической конфигурации. Если вы хотите сделать это вручную, будут доступны опции для ввода IP-адреса и соответствующего порта.

Как прокси-сервер защищает конфиденциальность и данные компьютера?

Прокси-сервер выполняет функцию межсетевого экрана и фильтра. Конечный пользователь или сетевой администратор могут выбрать прокси-сервер, предназначенный для защиты данных и конфиденциальности. В ходе этого исследования будут изучаться данные, поступающие в компьютер или сеть и выходящие из них. В нем также применяются правила, чтобы вам не пришлось раскрывать свой цифровой адрес миру. Хакеры или другие злоумышленники видят только IP-адрес прокси-сервера. Без вашего личного IP-адреса у людей в интернете не будет прямого доступа к вашим персональным данным, расписаниям, приложениям или файлам.

После этого веб-запросы отправляются в прокси-сервер, который затем получает то, что вам нужно, из интернета. Если сервер имеет функции шифрования, пароли и т. д., персональные данные получают дополнительный уровень защиты.

Преимущества прокси-сервера

Доверенные лица имеют несколько преимуществ, которые помогут вашему бизнесу преуспеть:

  1. Повышенная безопасность: Может действовать как межсетевой экран между вашей системой и интернетом. Без него хакеры могут легко получить доступ к вашему IP-адресу, который они могут использовать для проникновения в ваш компьютер или сеть.
  2. Просмотр веб-страниц для личных целей, просмотр видео, прослушивание и совершение покупок: Используйте различные прокси-серверы, чтобы избежать нежелательного размещения рекламы или сбора данных, относящихся к IP-адресам.
  3. Доступ к содержимому, относящемуся к определенному местоположению: Вы можете назначить прокси-сервер с адресом другой страны. Вы можете фактически создать впечатление, что находитесь в этой стране, и получить полный доступ ко всем компьютерам с контентом в этой стране.
  4. Предотвращение просмотра неуместных или отвлекающих сайтов сотрудниками: Вы можете заблокировать доступ к сайтам, которые противоречат принципам вашей организации. Кроме того, вы можете блокировать сайты, которые отвлекают сотрудников от важных задач. Некоторые организации блокируют сайты социальных сетей, такие как Facebook и другие, с целью устранения возможностей, связанных с потерей времени.

Типы прокси-серверов

Хотя все прокси-серверы предоставляют пользователям альтернативный адрес для использования интернета, существует несколько различных типов, каждый из которых имеет свои собственные функции.

Прокси-сервер переадресации

Прокси-сервер переадресации находится перед клиентами и используется для передачи данных группам пользователей во внутренней сети. При отправке запроса прокси-сервер проверяет его, чтобы решить, следует ли ему продолжать подключение.

Прокси-сервер переадресации лучше всего подходит для внутренних сетей, которым требуется единая точка входа. Он обеспечивает защиту IP-адресов пользователей сети и простое администрирование. Однако прокси-сервер переадресации может ограничить способность организации обслуживать потребности отдельных конечных пользователей.

Прозрачный прокси-сервер

Прозрачный прокси-сервер может обеспечить пользователям удобство работы, как если бы они использовали домашний компьютер. Поэтому он называется «прозрачным». Они также могут быть «вынужденно» подключены к другим пользователям, что означает, что они могут быть подключены, не зная об этом.

Прозрачные прокси-серверы хорошо подходят для компаний, которые хотят использовать прокси-сервер без информирования сотрудников. Они обладают преимуществом обеспечения бесперебойной работы пользователей. С другой стороны, прозрачные прокси-серверы более подвержены определенным угрозам безопасности, таким как атаки типа «отказ в обслуживании» с использованием SYN-флуда.

Анонимный прокси-сервер

С анонимным прокси-сервером активность в сети невозможно отследить. Он работает путем доступа в интернет от имени пользователя, скрывая при этом его личность и компьютерную информацию.

Прозрачный прокси-сервер лучше всего подходит для пользователей, которые хотят иметь полную анонимность при доступе в интернет. Несмотря на то, что прозрачные прокси-серверы обеспечивают лучшую защиту личных данных, они имеют недостатки. Многие считают использование прозрачных прокси-серверов нечестным, и в результате пользователи могут столкнуться с неодобрением или дискриминацией.

Прокси-сервер с высокой степенью анонимности

Прокси-сервер с высокой степенью анонимности — это анонимный прокси-сервер, который делает еще один шаг к анонимности. Он работает путем удаления вашей информации до того, как прокси-сервер попытается подключиться к целевому сайту.

Этот сервер лучше всего подходит пользователям, для которых анонимность является абсолютной необходимостью, например сотрудникам, которые не хотят, чтобы их деятельность была связана с организацией. Некоторые из этих серверов, в частности, бесплатные, являются устройствами, предназначенными для захвата пользователей с целью доступа к их личной информации или данным.

Искажающий прокси-сервер

Искажающий прокси-сервер определяет себя как прокси-сервер веб-сайта, но скрывает свою собственную личность. Это достигается путем изменения IP-адреса на неправильный.

Искажающие прокси-серверы — это хороший выбор для тех, кто хочет скрыть свое местоположение при доступе в интернет. Такой тип прокси-сервера создает видимость того, что вы просматриваете веб-страницы в определенной стране, и дает вам возможность скрыть не только вашу личность, но и прокси-сервер. Это означает, что даже если вы связаны с прокси-сервером, ваша личность по-прежнему защищена. Однако некоторые веб-сайты автоматически блокируют искаженные прокси-серверы, что может помешать конечному пользователю получить доступ к нужным сайтам.

Прокси-сервер центра обработки данных

Прокси-серверы центра обработки данных не связаны с провайдером интернет-услуг (ISP), а предоставляются другой корпорацией через центр обработки данных. Прокси-сервер существует в физическом центре обработки данных, и запросы пользователя направляются через этот сервер.

Прокси-серверы центра обработки данных — это хороший выбор для тех, кому требуется быстрое время отклика и недорогое решение. Они являются хорошим выбором для людей, которым нужно очень быстро собрать информацию о человеке или организации. Они дают пользователям возможность быстро и недорого собирать данные. С другой стороны, они не обеспечивают высочайший уровень анонимности, что может подвергнуть риску информацию или личность пользователей.

Абонентский прокси-сервер

Абонентский прокси-сервер предоставляет вам IP-адрес, который принадлежит конкретному физическому устройству. Все запросы затем направляются через это устройство.

Абонентские прокси-серверы хорошо подходят для пользователей, которым необходимо проверить рекламу для своего сайта, чтобы могли заблокировать подозрительную или нежелательную рекламу от конкурентов или злоумышленников. Прокси-серверы с частным размещением заслуживают большего доверия, чем другие прокси-серверы. Однако они часто стоят дороже, поэтому пользователи должны подумать, стоит ли это дополнительных инвестиций.

Открытый прокси-сервер

Доступ к открытому прокси-серверу предоставляется бесплатно. Он предоставляет пользователям доступ к своему IP-адресу, скрывая их личность при посещении ими сайтов.

Открытые прокси-серверы лучше всего подходят для пользователей, для которых стоимость является серьезной проблемой, а безопасность и скорость — нет. Несмотря на то, что они бесплатны и легко доступны, они медленно работают, потому что перегружаются бесплатными пользователями. При использовании открытого прокси-сервера вы также рискуете предоставить доступ к своей информации через интернет.

Общий прокси-сервер

Общие прокси-серверы используются несколькими пользователями одновременно. Они предоставляют вам доступ к IP-адресу, который могут использовать и другие люди, затем вы можете просматривать сайты с выбранного вами местоположения.

Общие прокси-серверы — это надежный вариант для тех, кто не хочет тратить деньги на эту услугу, и которым не обязательна быстрая связь. Основным преимуществом общего прокси-сервера является его низкая стоимость. Так как сервер используется разными людьми, вас могут обвинить в чем-то, что сделал другой человек, что также может привести к бану на сайте.

Прокси-сервер SSL

Прокси-сервер уровня защищенных сокетов (SSL) обеспечивает расшифровку между клиентом и сервером. Поскольку данные шифруются в обоих направлениях, прокси-сервер скрывает свое существование как от клиента, так и от сервера.

Эти прокси-серверы лучше всего подходят для организаций, которым требуется повышенная защита от угроз, обнаруживаемых и останавливаемых протоколом SSL. Поскольку Google предпочитает серверы, использующие SSL, прокси-сервер SSL может помочь в определении рейтинга его поисковой системы при использовании в связи с веб-сайтом. С другой стороны, содержимое, зашифрованное на прокси-сервере SSL, не может быть кэшировано, поэтому при многократном посещении веб-сайтов производительность может быть ниже.

Вращающийся прокси-сервер

Вращающийся прокси-сервер назначает разные IP-адреса каждому пользователю, который к нему подключается. По мере подключения пользователям присваивается уникальный адрес устройства, которое было подключено раньше.

Вращающиеся прокси-серверы идеально подходят для пользователей, которым необходимо выполнять большое количество крупномасштабных непрерывных веб-извлечений данных. Они позволяют вам снова и снова заходить на тот же сайт анонимно. Однако при выборе услуг вращающегося прокси-сервера необходимо соблюдать осторожность. Некоторые из них содержат общедоступные или общие прокси-серверы, которые могут раскрыть ваши данные.

Обратный прокси-сервер

В отличие от прокси-сервера, который находится перед клиентами, прокси-сервер обратного типа расположен перед веб-серверами и пересылает запросы из браузера на веб-серверы. Он работает путем перехвата запросов от пользователя на сетевой периферии веб-сервера. Затем он отправляет запросы и получает ответы от сервера отправки.

Прокси-сервер или VPN?

С первого взгляда кажется, что прокси-серверы и виртуальные частные сети (VPN) взаимозаменяемы, поскольку они маршрутизируют запросы и ответы через внешний сервер. Кроме того, вы можете посещать веб-сайты, которые в противном случае блокируют страну, в которой вы физически находитесь. Однако VPN обеспечивают лучшую защиту от хакеров, поскольку они шифруют весь трафик.

Выбор VPN или прокси-сервера

Если вам необходимо постоянно получать доступ в интернет для отправки и получения данных, которые должны быть зашифрованы, или если вашей компании необходимо раскрыть данные, которые вы должны скрыть от хакеров и корпоративных шпионов, лучше использовать VPN.

Если организации просто необходимо разрешить пользователям анонимно просматривать сайты в интернете, это может сделать прокси-сервер. Это лучшее решение, если вы просто хотите узнать, какие веб-сайты используют члены команды, или убедиться, что у них есть доступ к сайтам, которые блокируют пользователей из вашей страны.

VPN лучше подходит для использования в деловых целях, поскольку пользователям обычно требуется безопасная передача данных в обоих направлениях. Информация и данные сотрудников компании могут быть ценны при попадании в руки злоумышленника, а VPN обеспечивает шифрование, необходимое для защиты данных. Для личного использования, когда нарушение может повлиять только на вас, скорее подходит прокси-сервер. Вы также можете использовать обе технологии одновременно, особенно если хотите ограничить количество сайтов, которые пользователи посещают в вашей сети, одновременно шифруя их коммуникации.

Как Fortinet может помочь

FortiGate поддерживает как прокси-серверы, так и VPN. Она защищает пользователей от утечек данных, которые часто происходят при высокоскоростном трафике, и использует IPsec и SSL для повышения безопасности. FortiGate также использует возможности аппаратного ускорителя FortiASIC для повышения производительности без ущерба для конфиденциальности. Защитите свою сеть с помощью VPN FortiGate и прокси-функций.

В первой части я рассказал почему стоит защищать доступ в Интернет и что должны уметь технические решения. В этой же расскажу, что есть в арсенале Cisco и типовых способах решения задачи.

Как правило выбор делается между решениями классов «прокси-сервер» и «межсетевой экран нового поколения». Также существуют и облачные сценарии, но их мы коснёмся лишь вскользь.

Прокси-серверы – Cisco Web Security Appliance (WSA)

Самый консервативный и проверенный десятилетиями способ решения задачи. Прокси-сервер или дословно «сервер-посредник» принимает на себя запросы от пользователей, проверяет их на соответствие политике и уже от своего имени устанавливает соединение с Интернет-ресурсом. Обычно прокси-сервер устанавливается в демилитаризованной зоне (ДМЗ), а прямой маршрутизируемый доступ в Интернет запрещается.




Вполне естественно, что рабочие станции пользователей не подозревают о существовании прокси-сервера. Существует несколько способов рассказать им об этом:

Конечно же все мы не любим настраивать что-либо сразу на всех рабочих станциях и к счастью есть вариант внедрения с WCCP. WCCP — открытый протокол перенаправления трафика, разработанный компанией Cisco. С его помощью можно отдать на проверку весь веб-трафик, проходящий через маршрутизатор, коммутатор или Cisco ASA, а остальной трафик пойдёт как раньше. На сетевом оборудовании производятся минимальные настройки, а на хостах ничего не настраивается. Ниже схематично изображён принцип работы WCCP


Само собой, создание исключений по портам или станциям/пользователям это упадочный вариант, который ведёт к лишней нагрузке на персонал и избыточным правам доступа. Неправильных приложений окажется больше, чем вы ожидаете, например, банк-клиенты, приложения собственной разработки, серверные приложения, приложения для работы с налоговой, пенсионными фондами, тендерными площадками, партнёрами и т.п.

Управлять нестандартными приложениями нужно с помощью межсетевых экранов следующего поколения. Альтернативный вариант — это использование прокси-серверов некоторых производителей, которые можно устанавливать «в разрыв» и которые могут маршрутизировать весь трафик через себя. Основным минусом здесь является добавление дополнительной точки отказа в инфраструктуру.

Межсетевые экраны нового поколения — Cisco Sourcefire NGFW


Про NGFW и Sourcefire на Хабре уже писали, так что повторятся не буду. NGFW устанавливаются в разрыв, зачастую вместо старых межсетевых экранов, и пропускают через себя весь трафик, понимая и контролируя любые протоколы. Каких-либо настроек на хостах не требуется.

*Рекламная пауза*
Помните, что Sourcefire это лучший в мире NGIPS с функциональностью NGFW. Sourcefire NGIPS/NGFW может быть внедрён как в виде отдельного устройства FirePOWER, так и запущен в виде программного модуля на вашей существующей Cisco ASA. ASA должна быть серии 5500-Х и иметь SSD-диск. Для 5585-Х дополнительно потребуется замена модуля SSP. ASA будет работать как обычно, выполняя роль фильтра грубой очистки, а Sourcefire заниматься самыми интеллектуальными задачами для уже разрешённых соединений.

Прокси-сервер или NGFW — что выбрать?

Очевидно, что функциональность двух решений пересекается, и вы не сразу можете определить, что нужно именно Вам.

Если перед Вами стоит только задача по сложной фильтрации доступа в Интернет и уменьшению счёта от провайдера, то ваш выбор — Cisco WSA.
Если достаточно базовой фильтрации, есть множество нестандартных приложений и пора обновить ваши средства сетевой безопасности, то стоит смотреть в сторону Sourcefire NGIPS/NGFW.

Самый правильный вариант — это использование обоих решений.
особенно с точки зрения выполнения моей квоты
Его как правило выбирают наиболее требовательные организации и выглядит он следующим образом:

  • В ядро сети или на периметре устанавливается NGIPS/NGFW, который фильтрует доступ пользователей по группам в AD, протоколам, приложениям и т.д.
  • Разрешённый веб-трафик перенаправляется по WCCP на Cisco WSA, который расшифровывает трафик SSL, кэширует запросы, передаёт отдельные файлы в систему DLP, сканирует вложения антивирусом и многое другое
  • Так как предварительную фильтрацию выполняет NGFW, то нагрузка на WSA существенно снижается и можно разворачивать его в виде ВМ. В свою очередь NGFW освобождается от задач по URL-фильтрации и перехвату SSL –трафика, что позволяет сэкономить на лицензиях и выбрать модель с меньшей производительностью

Облачные решения — Cisco Cloud Web Security (CWS)

Данный класс решений пока не набрал популярности в России и не факт, что когда-либо наберёт. Весь трафик от пользователей к Интернет-ресурсам шифруется и отправляется в облачный сервис. После проверки на соответствие политикам трафик перенаправляется к Интернет-ресурсам и запрошенные данные возвращаются пользователю. Данное решение проще всего рассматривать как Cisco WSA, размещённый в облаке и немного ограниченный по функциональности.

Как и с традиционными прокси-серверами есть два варианта перенаправления пользователей в облачный сервис

  • «Хостовый» — на хостах производятся настройки реестра или устанавливается агент или используется Cisco Anyconnect
  • «WCCP-like» — агент на маршрутизаторах Cisco или межсетевых экранах Cisco ASA перенаправляет весь веб-трафик в CWS

На сегодня пожалуй всё. Буду благодарен за обратную связь и участие в опросе!
Stay tuned ;)

Читайте также: